Voilà, j'ai deux réseaux A (192.168.1.0/24) et B (192.168.68.0/24).
A possède un routeur Draytek 192.168.1.254 qui fait aussi office de
serveur VPN.
Le serveur de B (Debian, 192.168.68.70 sur interface eth0) se connecte à
A et reçoit l'IP 192.168.1.1 sur l'interface ppp0.
B ping parfaitement n'importe quelle machine de A, mais pas l'inverse
(nexthops, hosts unreachable...).
Voilà, j'ai deux réseaux A (192.168.1.0/24) et B (192.168.68.0/24).
A possède un routeur Draytek 192.168.1.254 qui fait aussi office de
serveur VPN.
Le serveur de B (Debian, 192.168.68.70 sur interface eth0) se connecte à
A et reçoit l'IP 192.168.1.1 sur l'interface ppp0.
B ping parfaitement n'importe quelle machine de A, mais pas l'inverse
(nexthops, hosts unreachable...).
Voilà, j'ai deux réseaux A (192.168.1.0/24) et B (192.168.68.0/24).
A possède un routeur Draytek 192.168.1.254 qui fait aussi office de
serveur VPN.
Le serveur de B (Debian, 192.168.68.70 sur interface eth0) se connecte à
A et reçoit l'IP 192.168.1.1 sur l'interface ppp0.
B ping parfaitement n'importe quelle machine de A, mais pas l'inverse
(nexthops, hosts unreachable...).
Salut,
Voilà, j'ai deux réseaux A (192.168.1.0/24) et B (192.168.68.0/24).
A possède un routeur Draytek 192.168.1.254 qui fait aussi office de
serveur VPN.
Le serveur de B (Debian, 192.168.68.70 sur interface eth0) se connecte à
A et reçoit l'IP 192.168.1.1 sur l'interface ppp0.
B ping parfaitement n'importe quelle machine de A, mais pas l'inverse
(nexthops, hosts unreachable...).
Que contiennent les tables de routage des deux routeurs lorsque le VPN
est établi ? Notamment, le routeur de A possède-t-il une route vers le
réseau B ?
Quelles sont les règles iptables sur le routeur Debian (iptables-save) ?
Quel rapport avec SSH qui figure dans le sujet ?
Pour A :
Salut,
Voilà, j'ai deux réseaux A (192.168.1.0/24) et B (192.168.68.0/24).
A possède un routeur Draytek 192.168.1.254 qui fait aussi office de
serveur VPN.
Le serveur de B (Debian, 192.168.68.70 sur interface eth0) se connecte à
A et reçoit l'IP 192.168.1.1 sur l'interface ppp0.
B ping parfaitement n'importe quelle machine de A, mais pas l'inverse
(nexthops, hosts unreachable...).
Que contiennent les tables de routage des deux routeurs lorsque le VPN
est établi ? Notamment, le routeur de A possède-t-il une route vers le
réseau B ?
Quelles sont les règles iptables sur le routeur Debian (iptables-save) ?
Quel rapport avec SSH qui figure dans le sujet ?
Pour A :
Salut,
Voilà, j'ai deux réseaux A (192.168.1.0/24) et B (192.168.68.0/24).
A possède un routeur Draytek 192.168.1.254 qui fait aussi office de
serveur VPN.
Le serveur de B (Debian, 192.168.68.70 sur interface eth0) se connecte à
A et reçoit l'IP 192.168.1.1 sur l'interface ppp0.
B ping parfaitement n'importe quelle machine de A, mais pas l'inverse
(nexthops, hosts unreachable...).
Que contiennent les tables de routage des deux routeurs lorsque le VPN
est établi ? Notamment, le routeur de A possède-t-il une route vers le
réseau B ?
Quelles sont les règles iptables sur le routeur Debian (iptables-save) ?
Quel rapport avec SSH qui figure dans le sujet ?
Pour A :
Pour A :
Table de routage du routeur Draytek (qui s'occupe de la connexion VPN) :
Destination Gateway Subnet Mask Flags Interface
192.168.1.1 * 255.255.255.255 UH ppp4
192.168.1.0 * 255.255.255.0 U eth0
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
[J'ai viré les routes sans rapport avec le problème]
Tu remarqueras la ligne :
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
qui indique un chemin vers B.
Les règles iptables du routeur Debian :
# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*nat
:PREROUTING ACCEPT [1898:91554]
:POSTROUTING ACCEPT [438:26460]
:OUTPUT ACCEPT [38:5914]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.68.165:8085
COMMIT
# Completed on Thu Aug 30 11:08:58 2007
# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*filter
:INPUT ACCEPT [91296:66569842]
:FORWARD ACCEPT [1666:85693]
:OUTPUT ACCEPT [84732:9042357]
-A FORWARD -s 192.168.68.165 -i eth0 -o ppp0 -p tcp -m tcp --sport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.68.165 -i ppp0 -o eth0 -p tcp -m tcp --dport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
Pour A :
Table de routage du routeur Draytek (qui s'occupe de la connexion VPN) :
Destination Gateway Subnet Mask Flags Interface
192.168.1.1 * 255.255.255.255 UH ppp4
192.168.1.0 * 255.255.255.0 U eth0
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
[J'ai viré les routes sans rapport avec le problème]
Tu remarqueras la ligne :
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
qui indique un chemin vers B.
Les règles iptables du routeur Debian :
# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*nat
:PREROUTING ACCEPT [1898:91554]
:POSTROUTING ACCEPT [438:26460]
:OUTPUT ACCEPT [38:5914]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.68.165:8085
COMMIT
# Completed on Thu Aug 30 11:08:58 2007
# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*filter
:INPUT ACCEPT [91296:66569842]
:FORWARD ACCEPT [1666:85693]
:OUTPUT ACCEPT [84732:9042357]
-A FORWARD -s 192.168.68.165 -i eth0 -o ppp0 -p tcp -m tcp --sport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.68.165 -i ppp0 -o eth0 -p tcp -m tcp --dport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
Pour A :
Table de routage du routeur Draytek (qui s'occupe de la connexion VPN) :
Destination Gateway Subnet Mask Flags Interface
192.168.1.1 * 255.255.255.255 UH ppp4
192.168.1.0 * 255.255.255.0 U eth0
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
[J'ai viré les routes sans rapport avec le problème]
Tu remarqueras la ligne :
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
qui indique un chemin vers B.
Les règles iptables du routeur Debian :
# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*nat
:PREROUTING ACCEPT [1898:91554]
:POSTROUTING ACCEPT [438:26460]
:OUTPUT ACCEPT [38:5914]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.68.165:8085
COMMIT
# Completed on Thu Aug 30 11:08:58 2007
# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*filter
:INPUT ACCEPT [91296:66569842]
:FORWARD ACCEPT [1666:85693]
:OUTPUT ACCEPT [84732:9042357]
-A FORWARD -s 192.168.68.165 -i eth0 -o ppp0 -p tcp -m tcp --sport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.68.165 -i ppp0 -o eth0 -p tcp -m tcp --dport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
Oui, mais elle n'a pas la bonne interface. Si je ne m'abuse, ça devrait
être ppp4. Je me demande comment le routeur a laissé enregistrer un
route pareille avec une passerelle et une interface incohérentes.
Et la table de routage du routeur Debian ?
Oui, mais elle n'a pas la bonne interface. Si je ne m'abuse, ça devrait
être ppp4. Je me demande comment le routeur a laissé enregistrer un
route pareille avec une passerelle et une interface incohérentes.
Et la table de routage du routeur Debian ?
Oui, mais elle n'a pas la bonne interface. Si je ne m'abuse, ça devrait
être ppp4. Je me demande comment le routeur a laissé enregistrer un
route pareille avec une passerelle et une interface incohérentes.
Et la table de routage du routeur Debian ?
Et la table de routage du routeur Debian ?
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.254 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.68.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 ppp0
0.0.0.0 192.168.68.1 0.0.0.0 UG 0 0 0 eth0
Pour information 192.168.68.1 représente une Livebox.
Quant à la table du routeur, préciseément l'entrée qui est fautive
selon toi, c'est une route statique que j'ai pu ajouter via une interface
web, mais qui ne me laisse aucunement le choix de l'interface réseau...
Et la table de routage du routeur Debian ?
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.254 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.68.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 ppp0
0.0.0.0 192.168.68.1 0.0.0.0 UG 0 0 0 eth0
Pour information 192.168.68.1 représente une Livebox.
Quant à la table du routeur, préciseément l'entrée qui est fautive
selon toi, c'est une route statique que j'ai pu ajouter via une interface
web, mais qui ne me laisse aucunement le choix de l'interface réseau...
Et la table de routage du routeur Debian ?
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.254 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.68.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 ppp0
0.0.0.0 192.168.68.1 0.0.0.0 UG 0 0 0 eth0
Pour information 192.168.68.1 représente une Livebox.
Quant à la table du routeur, préciseément l'entrée qui est fautive
selon toi, c'est une route statique que j'ai pu ajouter via une interface
web, mais qui ne me laisse aucunement le choix de l'interface réseau...
Et la table de routage du routeur Debian ?
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref
Use Iface
192.168.1.254 0.0.0.0 255.255.255.255 UH 0 0
0 ppp0
192.168.68.0 0.0.0.0 255.255.255.0 U 0 0
0 eth0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0
0 ppp0
0.0.0.0 192.168.68.1 0.0.0.0 UG 0 0
0 eth0
Pour information 192.168.68.1 représente une Livebox.
Donc si je comprends bien, le routeur Debian n'est pas la passerelle par
défaut des autres machines du réseau A. Comment celles-ci savent-elles
comment atteindre le réseau B ?
Quant à la table du routeur, préciseément l'entrée qui est fautive
selon toi, c'est une route statique que j'ai pu ajouter via une interface
web, mais qui ne me laisse aucunement le choix de l'interface réseau...
Il faut espérer que l'adresse de passerelle prime et que l'interface est
ignorée...
Peux-tu ajouter la règle suivant sur le routeur Debian :
iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE
et voir ce qui se passe quand tu essaies d'accéder à la caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.
Et la table de routage du routeur Debian ?
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref
Use Iface
192.168.1.254 0.0.0.0 255.255.255.255 UH 0 0
0 ppp0
192.168.68.0 0.0.0.0 255.255.255.0 U 0 0
0 eth0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0
0 ppp0
0.0.0.0 192.168.68.1 0.0.0.0 UG 0 0
0 eth0
Pour information 192.168.68.1 représente une Livebox.
Donc si je comprends bien, le routeur Debian n'est pas la passerelle par
défaut des autres machines du réseau A. Comment celles-ci savent-elles
comment atteindre le réseau B ?
Quant à la table du routeur, préciseément l'entrée qui est fautive
selon toi, c'est une route statique que j'ai pu ajouter via une interface
web, mais qui ne me laisse aucunement le choix de l'interface réseau...
Il faut espérer que l'adresse de passerelle prime et que l'interface est
ignorée...
Peux-tu ajouter la règle suivant sur le routeur Debian :
iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE
et voir ce qui se passe quand tu essaies d'accéder à la caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.
Et la table de routage du routeur Debian ?
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref
Use Iface
192.168.1.254 0.0.0.0 255.255.255.255 UH 0 0
0 ppp0
192.168.68.0 0.0.0.0 255.255.255.0 U 0 0
0 eth0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0
0 ppp0
0.0.0.0 192.168.68.1 0.0.0.0 UG 0 0
0 eth0
Pour information 192.168.68.1 représente une Livebox.
Donc si je comprends bien, le routeur Debian n'est pas la passerelle par
défaut des autres machines du réseau A. Comment celles-ci savent-elles
comment atteindre le réseau B ?
Quant à la table du routeur, préciseément l'entrée qui est fautive
selon toi, c'est une route statique que j'ai pu ajouter via une interface
web, mais qui ne me laisse aucunement le choix de l'interface réseau...
Il faut espérer que l'adresse de passerelle prime et que l'interface est
ignorée...
Peux-tu ajouter la règle suivant sur le routeur Debian :
iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE
et voir ce qui se passe quand tu essaies d'accéder à la caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.
Il faut espérer que l'adresse de passerelle prime et que l'interface est
ignorée...
Peux-tu ajouter la règle suivant sur le routeur Debian :
iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE
et voir ce qui se passe quand tu essaies d'accéder à la caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.
Il faut espérer que l'adresse de passerelle prime et que l'interface est
ignorée...
Peux-tu ajouter la règle suivant sur le routeur Debian :
iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE
et voir ce qui se passe quand tu essaies d'accéder à la caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.
Il faut espérer que l'adresse de passerelle prime et que l'interface est
ignorée...
Peux-tu ajouter la règle suivant sur le routeur Debian :
iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE
et voir ce qui se passe quand tu essaies d'accéder à la caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.
Il faut espérer que l'adresse de passerelle prime et que l'interface
est
ignorée...
Peux-tu ajouter la règle suivant sur le routeur Debian :
iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE
et voir ce qui se passe quand tu essaies d'accéder à la
caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.
Bonne nouvelle : suite à l'édition de cette règle, l'une
des deux
caméras a commencé a m'envoyer par mail les enregistrements des
"intrusions" qu'elle détecte.
Sachant que la caméra a l'IP 192.168.68.166, et que le serveur de mail
est à l'IP 192.168.1.2 ....
Il faut espérer que l'adresse de passerelle prime et que l'interface
est
ignorée...
Peux-tu ajouter la règle suivant sur le routeur Debian :
iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE
et voir ce qui se passe quand tu essaies d'accéder à la
caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.
Bonne nouvelle : suite à l'édition de cette règle, l'une
des deux
caméras a commencé a m'envoyer par mail les enregistrements des
"intrusions" qu'elle détecte.
Sachant que la caméra a l'IP 192.168.68.166, et que le serveur de mail
est à l'IP 192.168.1.2 ....
Il faut espérer que l'adresse de passerelle prime et que l'interface
est
ignorée...
Peux-tu ajouter la règle suivant sur le routeur Debian :
iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE
et voir ce qui se passe quand tu essaies d'accéder à la
caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.
Bonne nouvelle : suite à l'édition de cette règle, l'une
des deux
caméras a commencé a m'envoyer par mail les enregistrements des
"intrusions" qu'elle détecte.
Sachant que la caméra a l'IP 192.168.68.166, et que le serveur de mail
est à l'IP 192.168.1.2 ....